Autorizzazioni di controllo degli accessi in base al ruolo di Azure necessarie per usare le funzionalità di Network Watcher

  • Articolo

Il controllo degli accessi in base al ruolo di Azure consente di assegnare solo le azioni specifiche ai membri dell'organizzazione che devono completare le proprie responsabilità assegnate. Per usare le funzionalità di Azure Network Watcher, l'account con cui si accede ad Azure deve essere assegnato ai ruoli predefiniti Proprietario, Collaboratore o Collaboratore rete oppure assegnati a un ruolo personalizzato a cui sono assegnate le azioni elencate per ogni funzionalità di Network Watcher nelle sezioni seguenti. Per informazioni su come controllare i ruoli assegnati a un utente per una sottoscrizione, vedere Elencare le assegnazioni di ruolo di Azure usando il portale di Azure. Se non è possibile visualizzare le assegnazioni di ruolo, contattare l'amministratore della sottoscrizione corrispondente. Per altre informazioni sulle funzionalità di Network Watcher, vedere Che cos'è Network Watcher?

Importante

Il collaboratore alla rete non copre le azioni seguenti:

  • Microsoft. Archiviazione/* azioni elencate in Azioni aggiuntive o sezione Log di flusso.
  • Azioni Microsoft.Compute/* elencate nella sezione Azioni aggiuntive .
  • Azioni Microsoft.OperationalInsights/workspaces/*, Microsoft.Insights/dataCollectionRules/* o Microsoft.Insights/dataCollectionEndpoints/* elencate nella sezione Analisi del traffico.

Network Watcher

Azione Descrizione
Microsoft.Network/networkWatchers/read Ottenere un'istanza di Network Watcher
Microsoft.Network/networkWatchers/write Creare o aggiornare un'istanza di Network Watcher
Microsoft.Network/networkWatchers/delete Eliminare un'istanza di Network Watcher

Monitoraggio connessione

Azione Descrizione
Microsoft.Network/networkWatchers/connectionMonitors/start/action Avviare il monitoraggio di una connessione
Microsoft.Network/networkWatchers/connectionMonitors/stop/action Interrompere il monitoraggio di una connessione
Microsoft.Network/networkWatchers/connectionMonitors/query/action Effettuare una query del monitoraggio di una connessione
Microsoft.Network/networkWatchers/connectionMonitors/read Ottenere il monitoraggio di una connessione
Microsoft.Network/networkWatchers/connectionMonitors/write Creare un monitoraggio della connessione
Microsoft.Network/networkWatchers/connectionMonitors/delete Eliminare il monitoraggio di una connessione

Log dei flussi

Azione Descrizione
Microsoft.Network/networkWatchers/configureFlowLog/action Configurare un log del flusso
Microsoft.Network/networkWatchers/queryFlowLogStatus/action Effettuare una query dello stato per un log del flusso
Microsoft. Archiviazione/storageAccounts/listServiceSas/Action,
Microsoft. Archiviazione/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/Action		 Recuperare le firme di accesso condiviso (SAS) abilitando l'accesso sicuro all'account di archiviazione e scrivere nell'account di archiviazione

Analisi del traffico

Poiché l'analisi del traffico è abilitata come parte della risorsa di log del flusso, sono necessarie le autorizzazioni seguenti oltre a tutte le autorizzazioni necessarie per i log di Flow:

Azione Descrizione
Microsoft.Network/applicationGateways/read Ottenere un gateway applicazione
Microsoft.Network/connections/read Ottiene una connessione di gateway di rete virtuale
Microsoft.Network/loadBalancers/read Ottenere una definizione del servizio di bilanciamento del carico
Microsoft.Network/localNetworkGateways/read Ottenere LocalNetworkGateway
Microsoft.Network/networkInterfaces/read Ottenere una definizione di interfaccia di rete
Microsoft.Network/networkSecurityGroups/read Ottenere una definizione di gruppo di sicurezza di rete
Microsoft.Network/publicIPAddresses/read Ottenere una definizione di indirizzo IP pubblico
Microsoft.Network/routeTables/read Ottenere una definizione di tabella di route
Microsoft.Network/virtualNetworkGateways/read Ottenere un virtualNetworkGateway
Microsoft.Network/virtualNetworks/read Ottenere una definizione di rete virtuale
Microsoft.Network/expressRouteCircuits/read Ottiene un ExpressRouteCircuit
Microsoft.OperationalInsights/workspaces/read Ottenere un'area di lavoro esistente
Microsoft.OperationalInsights/workspaces/sharedkeys/action Recuperare le chiavi condivise per l'area di lavoro
Microsoft.Insights/dataCollectionRules/read 1 Leggere una regola di raccolta dati
Microsoft.Insights/dataCollectionRules/write 1 Creare o aggiornare una regola di raccolta dati
Microsoft.Insights/dataCollectionRules/delete 1 Eliminare una regola di raccolta dati
Microsoft.Insights/dataCollectionEndpoints/read 1 Leggere un endpoint di raccolta dati
Microsoft.Insights/dataCollectionEndpoints/write 1 Creare o aggiornare un endpoint di raccolta dati
Microsoft.Insights/dataCollectionEndpoints/delete 1 Eliminare un endpoint di raccolta dati

1 È necessario solo quando si usa l'analisi del traffico per analizzare i log dei flussi della rete virtuale (anteprima). Per altre informazioni, vedere Regole di raccolta dati in Monitoraggio di Azure ed endpoint di raccolta dati in Monitoraggio di Azure.

Attenzione

Le risorse dell'endpoint di raccolta dati e raccolta dati vengono create e gestite dall'analisi del traffico. Se si esegue un'operazione su queste risorse, l'analisi del traffico potrebbe non funzionare come previsto.

Risoluzione dei problemi di connessione

Azione Descrizione
Microsoft.Network/networkWatchers/connectivityCheck/action Avviare un test per la risoluzione dei problemi di connessione
Microsoft.Network/networkWatchers/queryTroubleshootResult/action Effettuare una query dei risultati di un test per la risoluzione dei problemi di connessione
Microsoft.Network/networkWatchers/troubleshoot/action Eseguire un test per la risoluzione dei problemi di connessione

Acquisizione pacchetti

Azione Descrizione
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/action Eseguire una query sullo stato di un'acquisizione di pacchetti.
Microsoft.Network/networkWatchers/packetCaptures/stop/action Arrestare un'acquisizione di pacchetti.
Microsoft.Network/networkWatchers/packetCaptures/read Ottenere un'acquisizione di pacchetti.
Microsoft.Network/networkWatchers/packetCaptures/write Creare un'acquisizione di pacchetti.
Microsoft.Network/networkWatchers/packetCaptures/delete Eliminare un'acquisizione di pacchetti.
Microsoft.Network/networkWatchers/packetCaptures/queryStatus/read Visualizzare lo stato di un'acquisizione di pacchetti.

Verifica flusso IP

Azione Descrizione
Microsoft.Network/networkWatchers/ipFlowVerify/action Verificare un flusso dell'IP

Hop successivo

Azione Descrizione
Microsoft.Network/networkWatchers/nextHop/action Ottenere l'hop successivo da una macchina virtuale

Visualizzazione dei gruppi di sicurezza di rete

Azione Descrizione
Microsoft.Network/networkWatchers/securityGroupView/action Visualizzare i gruppi di sicurezza

Topologia

Azione Descrizione
Microsoft.Network/networkWatchers/topology/action Ottenere la topologia
Microsoft.Network/networkWatchers/topology/read Vedere sopra.

Report di raggiungibilità

Azione Descrizione
Microsoft.Network/networkWatchers/azureReachabilityReport/action Ottenere un report di raggiungibilità di Azure

Azioni aggiuntive

Le funzionalità di Network Watcher richiedono anche le azioni seguenti:

Azioni Descrizione
Microsoft.Authorization/*/Read Recuperare le assegnazioni di ruolo e le definizioni dei criteri di Azure
Microsoft.Resources/subscriptions/resourceGroups/Read Enumerare tutti i gruppi di risorse in una sottoscrizione
Microsoft.Storage/storageAccounts/Read Ottenere le proprietà per l'account di archiviazione specificato
Microsoft. Archiviazione/storageAccounts/listServiceSas/Action,
Microsoft. Archiviazione/storageAccounts/listAccountSas/Action,
Microsoft.Storage/storageAccounts/listKeys/Action		 Recuperare le firme di accesso condiviso (SAS) abilitando l'accesso sicuro all'account di archiviazione e scrivere nell'account di archiviazione
Microsoft.Compute/virtualMachines/Read,
Microsoft.Compute/virtualMachines/Write		 Accedere alla macchina virtuale, eseguire un'acquisizione di pacchetti e caricarla nell'account di archiviazione
Microsoft.Compute/virtualMachines/extensions/Read,
Microsoft.Compute/virtualMachines/extensions/Write		 Controllare se l'estensione Network Watcher è presente e installare se necessario
Microsoft.Compute/virtualMachineScaleSets/Read,
Microsoft.Compute/virtualMachineScaleSets/Write		 Accedere ai set di scalabilità di macchine virtuali, eseguire acquisizioni di pacchetti e caricarle nell'account di archiviazione
Microsoft.Compute/virtualMachineScaleSets/extensions/Read,
Microsoft.Compute/virtualMachineScaleSets/extensions/Write		 Controllare se l'estensione Network Watcher è presente e installare se necessario
Microsoft.Insights/alertRules/* Configurare gli avvisi delle metriche
Microsoft.Support/* Creare e aggiornare i ticket di supporto da Network Watcher